Home
About
Archives
Contactenos
Ayuda | Help

25  01 2012

Administracion de nuestro Active Directory: Politicas de Grupo para Internet Explorer 9

GP00[1]Hace tiempo vengo escribiendo cada vez mas de políticas, y de su importancia en nuestro Active Directory; y de como nos facilitan las cosas al momento de administrar, mantener y asegurar nuestra arquitectura de Directory Services.

Hoy vamos a hablar de las políticas de grupo, pero asociadas a un producto, en este caso al Internet Explorer 9.

Además de las utilidades y facilidades que nos brindan, cabe recordar (y para quienes no lo sabes) que por medio de ellas podemos controlar la configuración de Internet Explorer 9 (y, también, de sus versiones anteriores) de un modo seguro y centralizado para todo nuestro Active Directory.

Anteriormente, con el IE8 (Internet Explorer 8) podíamos configurar casi 1500 opciones de configuración para controlar la configuración del explorador web. Por ejemplo, podíamos regular el acceso a las opciones de configuración de las Opciones de Internet, definir las zonas de seguridad y agregar o quitar sitios web de una zona de seguridad. En IE9, tenemos esas opciones, pero además se agregan nuevas configuraciones de la directiva de grupo para poder administrar las nuevas características del producto.

Disponemos de:

  • Plantillas administrativas, que las podemos usar para administrar las directivas basadas en el Registro para cientos de valores de configuración de Internet Explorer 9, incluidas las opciones de seguridad.
  • Mantenimiento de Internet Explorer, que podemos utilizar esta extensión para preestablecer y administrar ciertos valores de configuración de Internet Explorer 9 (incluida la interfaz de usuario y la configuración de la conexión) en nuestro dominio.

Ahora que pasa si no tenemos una arquitectura con Active Directory? Bueno, si no usamos (habría que ver si no seria una buena practica y un buen momento para adoptar uno) podríamos usar el administrador de perfiles de IEAK para configurar y actualizar ciertos valores y preferencias de la configuración del explorador después de la implementación. En la sección “Mas Información” les dejos los links correspondientes.

Para los que no conocen nada aun. Les recomiendo ver las otras notas que escribí sobre Políticas de Grupo (Group Policies). Pero en resumen, con las políticas de grupo podemos administrar los valores de configuración de los equipo y de los usuario.  Para crear y editar las GPO, utilizamos la consola de administración de la directivas de grupo (GPMC). Por medio de esta consola, asociamos la GPMC para conectar las GPO a los sitios seleccionados de Active Directory, a los dominios y a las unidades organizativas (OUs).

Por ejemplo, al usar la directiva de grupo para configurar Internet Explorer 9, podemos configurar un valor una vez y forzar ese valor en muchos equipos de forma centralizada, minimizando de esta forma los errores que podamos cometer.

También, podríamos configurar los valores de seguridad de Internet Explorer en un GPO que conectemos al dominio (por ejemplo), y la directiva de grupo puede aplicar estos valores en todos los equipos del dominio, y los usuarios que no inicien sesión en sus equipos como administradores no podrán cambiar estos valores.

Otro ejemplo, podría ser configurar un GPO para que se aplique solamente en un grupo de seguridad específico dentro de nuestra organización.

Pero, hay que tener cuidado, y no hay que tomarlo a la ligera. Ya que a medida que agreguemos complejidad a nuestras políticas estaremos también agregando complejidad a la administración de nuestra arquitectura. Ya que todas las políticas que tenga en mi dominio conviven, algunas tienen prioridad sobre otras y puede dificultarse al momento de implementarlas si son muchas.

Con la Consola de Group Policy Mananegement Console (GPMC) podremos administrar todas los GPOs, los filtros WMI y los permisos relacionados con las directivas de grupo. Es una interfaz grafica (GUI) muy facil de seguir y es intuitiva. Con ella podremos hacer varias cosas, como ser:

  • Importar y exportar GPOs.
  • Copiar y pegar GPOs.
  • Realizar copias de seguridad y restaurar GPOs.
  • Modelado de las directivas de grupo, nos permite simular la información del RSoP (Resultant Set of Policies) para planificar la implementación de la directiva de grupo antes de implementarla en nuestro entorno de producción.
  • Y varias cosas más…

www.radians.com.ar © 2012

Volviendo a hacer referencia a Internet Explorer, disponemos de una guía de referencia que nos servirá para evaluar todas las políticas referidas a este producto; la misma la podemos bajar del site de Microsoft (dejo el link en la sección “Más Información”). En este documento vemos el nombre de cada una de las directivas, y una breve descripción de su funcionamiento.

Lo que debemos hacer es instalar la nueva plantilla administrativa relacionada con el Internet Explorer 9, esto es un archivo .ADMX que se encuentra en la siguiente ubicación:

www.radians.com.ar © 2012

El archivo en cuestión se llama inetres.admx. Internet Explorer 9 también instala un archivo de idioma para la plantilla administrativa (archivo ADML), con el archivo inetres.adml en %WinDir%\PolicyDefinitions\LCID.

www.radians.com.ar © 2012

Tengamos en cuenta que nuestro equipo toma los templates que se encuentran en esta dirección, ósea que el nuevo .ADMX se instala automáticamente al instalar IE9 en el equipo que tiene instalado de GPMC. Sino, para crear objetos de la directiva de grupo (GPO) en el dominio según esta nueva configuración, tendríamos dos opciones:

  • Instalar las Herramientas de administración remota del servidor (RSAT) en un equipo que ejecute Windows 7 e Internet Explorer 9. Ya hemos hablado de este set de herramientas antes (les dejo el link al final de la nota). Si tenemos estas implementadas solo deberíamos activar la característica “Herramientas de administración de la directiva de grupo y use la Consola de administración de la directiva de grupo (GPMC)” para editar los objetos de la directiva de grupo en el dominio.
  • Sino, copiamos los archivos ADMX y ADML en el almacén central de la directiva de grupo y, a continuación, editamos los objetos de la directiva de grupo en el dominio de manera habitual.

Algunas de las políticas nuevas son las siguiente:

Policy name

Policy path

Prevent Deleting Download History

Windows Components\Internet Explorer\Delete Browsing History

Disable add-on performance notifications

Windows Components\Internet Explorer

Enable alternative codecs in HTML5 media elements

Windows Components\Internet Explorer\Internet Control Panel\Advanced settings\Multimedia

Allow Internet Explorer 8 Shutdown Behavior

Windows Components\Internet Explorer

Install binaries signed by MD2 and MD4 signing technologies

Windows Components\Internet Explorer\Security Features\Binary Behavior Security Restriction

Automatically enable newly installed add-ons

Windows Components\Internet Explorer

Turn off Managing SmartScreen Filter

Windows Components\Internet Explorer

Prevent configuration of top result search in the Address bar

Windows Components\Internet Explorer\Internet Settings\Advanced settings\Searching

Prevent Deleting ActiveX Filtering and Tracking Protection data

Windows Components\Internet Explorer\Delete Browsing History

Go to an intranet site for a single word entry in the Address bar

Windows Components\Internet Explorer\Internet Settings\Advanced settings\Browsing

Show tabs below Address bar

Windows Components\Internet Explorer\Toolbars

Prevent users from bypassing SmartScreen Filter’s application reputation warnings about files that are not commonly downloaded from the Internet

Windows Components\Internet Explorer

Disable Browser Geolocation

Windows Components\Internet Explorer

Turn off ability to pin sites

Windows Components\Internet Explorer

Turn on ActiveX Filtering

Windows Components\Internet Explorer

Tracking Protection Threshold

Windows Components\Internet Explorer\Privacy

Turn off Tracking Protection

Windows Components\Internet Explorer\Privacy

Use Policy List of Quirks Mode (KB982063 added this policy to Internet Explorer 8)

Windows Components\Internet Explorer\Compatibility View

También podríamos migrar nuestras políticas de IE8 a IE9, para migrarlos debemos verificar las opciones de configuración descritas en la siguiente tabla ya que no están disponibles en la versión de IE9 pero si en las anteriores:

Policy name

Policy path

Allow installation of desktop items

Windows Components\Internet Explorer\Internet Control Panel\Security Page\(All Zones)

Do not collect InPrivate Filtering data

Windows Components\Internet Explorer\Privacy

Moving the menu bar above the navigation bar

Windows Components\Internet Explorer

Prevent Deleting InPrivate Filtering data

Windows Components\Internet Explorer\Delete Browsing History

Prevent Internet Explorer Search box from displaying

Windows Components\Internet Explorer

Software channel permissions

Windows Components\Internet Explorer\Internet Control Panel\Security Page\(All Zones)

Turn off page transitions

Windows Components\Internet Explorer\Internet Control Panel\Advanced settings\Browsing

También se modificó el texto en casi toda la configuración de la directiva. Por ejemplo, la frase "Barra de notificación" reemplaza a la frase "Barra de información". No obstante, estos cambios no deben afectar las GPO existentes. Podremos ver el nuevo texto automáticamente después de actualizar los archivos inetres.admx e inetres.adml en la carpeta local PolicyDefinitions o en el almacén central de la directiva de grupo, como vimos anteriormente. Asimismo, la configuración que estaba en la carpeta Windows Components\Internet Explorer\InPrivate ahora está en Windows Components\Internet Explorer\Privacy.

Espero que les sea de interés. Les dejo mucho mas material acerca de Políticas de Grupo y demás. Saludos, Roberto Di Lello.

Mas Información:

En 2014 debido a nuevas disposiciones de la ley Argentina debo afrontar distintos gastos para mantener el blog en funcionamiento. Si te parecio util la informacion del blog hace click en el boton "DONATE" o Ayudar al Blog - DONAR Si te ha gustado este post, por favor considera Dejar un Comentario o Suscribirse a este sitio por medio de RSS para tener los futuros artículos desarrollados en su lector de feeds.

Comments are closed.

« »